Bumblebee Loader IOCs - Part 12

security IOC
Опубликовано

Отчет DFIR расширяет информацию о вторжении, произошедшем в мае 2022 года, когда угрожающие лица использовали BumbleBee в качестве начального вектора доступа из кампании Contact Forms. Вторжение началось с доставки ISO-файла, содержащего LNK и DLL. Угрожающие лица использовали BumbleBee для загрузки агента Meterpreter и маячков Cobalt Strike Beacons. Затем они провели разведку, использовали две различные техники обхода UAC, сбросили учетные данные, повысили привилегии с помощью эксплойта ZeroLogon и продвигались по среде.


Вторжение началось с контактной формы на сайте. Контактная форма заполняется агентом угрозы с уведомлением об авторском праве, якобы нарушающем закон об авторском праве цифрового тысячелетия (DMCA). Затем получателю предлагается загрузить файл, демонстрирующий предполагаемое нарушение.

BumbleBee Loader IOCs

Indicators of Compromise

IPv4

  • 172.93.201.12
  • 213.232.235.199
  • 23.106.215.100
  • 3.16.159.37
  • 45.153.243.93

IPv4 Port Combinations

  • 172.93.201.12:443
  • 213.232.235.199:443
  • 23.106.215.100:443
  • 3.16.159.37:44
  • 3.16.159.37:80
  • 45.153.243.93:443

Domains

  • cevogesu.com
  • titojukus.com

MD5

  • 0c9457ab6f0d6a14fc8a3d1d149547fb
  • 5d2a8724dbce65eefb7e74fbb0eceda9
  • 61be9ce3d068c08ff99a857f62352f9d
  • a0e9f5d64349fb13191bc781f81f42e1
  • ae4edc6faf64d08308082ad26be60767
  • aeff99611babd41d79c3ba7930f00bc1
  • b3e68aebe05dc652ec65099e0e98b94e
  • bd5c8ea8c231bf2775b9c0ba3f7ea867
  • ce5f3254611a8c095a3d821d44539877
  • ea2c1fa8668812852a77737c4f712ba2
  • ec74a5c51106f0419184d0dd08fb05bc
  • ee7ad5fe821fb9081380dbbf40c4f062
  • fbcaa31456f39f996950511705461639

SHA1

  • 38eef0cdaa8faa27c9e2cedeafcfe842e2e0e08e
  • 52d4c0cb9a93e7bc5f1e0c386dcca3e0ac41b966
  • 759688d1245aacd0ed067b0f0388786e911aaf28
  • 785b660537506501e695e46875b02260649b23f7
  • ccc9e1559b877b04b1d0e7f8920a64b4e35136da
  • fa3649b0472ba7fd9b31a22c904b2de4c008f540
  • fa9597b87f78c667cc006aaa1c647d539aa9b827

SHA256

  • 3c600328e1085dc73d672d068f3056e79e66bec7020be6ae907dd541201cd167
  • 4bb67453a441f48c75d41f7dc56f8d58549ae94e7aeab48a7ffec8b78039e5cc
  • 65a9b1bcde2c518bc25dd9a56fd13411558e7f24bbdbb8cb92106abbc5463ecf
  • da3c4e2b7768d66ecb6c0e74c6d45e2bcfbc6203b76c7163909bd2061603cef5
  • df63149eec96575d66d90da697a50b7c47c3d7637e18d4df1c24155abacbc12e
  • f7bfde050c81d47d79febdb170f307f447e76253715859727beff889d2a91694
  • f7c1d064b95dc0b76c44764cd3ae7aeb21dd5b161e5d218e8d6e0a7107d869c1
Похожие записи:
  1. Trickbot Group IOCs
  2. Bumblebee Loader IOCs - Part 8
  3. Bumblebee Loader IOCs - Part 11
  4. Cobalt Strike Beacon IOCs - Part 5
  5. Использование IPFS для фишинга и кампаний по распространению вредоносного ПО
Bumblebee CobaltStrike Meterpreter Phishing
Добавить комментарий